XSS уязвимость по-прежнему сохраняется для WordPress

[strlock]

И в чём, собственно, новость? В плагинах бывают уязвимости? Или, о боже, как всегда, не все обновляют софт?)

[OstaninKI]

Только одно не указано в статье — версия уязвимого плагина…
Укажите, пожалуйста, дабы не мучать общественность хабра

[nikitasius]

Или просто отключить комментарии в блоге. У меня, к примеру, они изначально выключены.

[TimsTims]

Или можно отключить веб-сервер. У некоторых именно так и сделано. Однако это не решает проблемы, когда сайтам очень важно принимать комментарии пользователей.

[dmitry_ch]

Подано так, будто WP всегда был безгрешным, а тут — раз! — нашлась дыра, и ее еще не залатали.

В жизни ситуация обычно другая. Ядро более-менее латают, по мере сил, но сторонние плагины — это сторонние плагины (даже если говорим про функционал плагинов, идущих из коробки). Авторам недосуг (или не по зубам) заткнуть дыры, владельцы/создатели сайто ставят то, что им кажется подходящим по функционалу (из описания), а не только то, что по результатам code review признают безопасным.

Так что вы уж переименуйте пост из «XSS уязвимость по-прежнему сохранятся для WordPress» в «Еще одна XSS нашлась в еще одном плагине для WP». Да и то — вы написали об одном плагине, а ведь сотни их, и вопрос с безопасностью и качеством кода каждого из них — очень неопределенный. Сегодня дырок нет, а в завтрашней версии — уже есть, тут статьями про одну уязвимость в одной версии одного плагина не отделаться.

[PapaBubaDiop]

XSS уязвимость сохранятся

Русский языка вешатся.

[Amareis]

Кстати, у меня уже давненько выросло некое неприятие всех этих кастомных комментов. Есть же disquss, что ещё нужно?

[ambientos]

Насколько мне известно, если включено автоматическое обновление данного плагина, то он автоматически обновляется.